Regras e grupos de regras do DRS e CRS do Web Application Firewall

O Conjunto de Regras Padrão (DRS) gerenciado pelo Azure no firewall de aplicativo Web do Gateway de Aplicativo (WAF) protege ativamente os aplicativos Web contra vulnerabilidades e explorações comuns. Esses conjuntos de regras, gerenciados pelo Azure, recebem atualizações conforme necessário para proteger contra novas assinaturas de ataque. O conjunto de regras padrão também incorpora as regras do Microsoft Threat Intelligence Collection. A equipe de inteligência da Microsoft colabora na redação dessas regras, garantindo cobertura aprimorada, patches de vulnerabilidade específicos e redução aprimorada de falsos positivos.

Você pode desabilitar regras individualmente ou definir ações específicas para cada regra. Este artigo lista as regras atuais e os conjuntos de regras disponíveis. Se um conjunto de regras publicado exigir uma atualização, iremos documentá-lo aqui.

Nota

Ao alterar uma versão do conjunto de regras em uma Política WAF, você deve encaminhar a ação da regra existente e as substituições e exclusões de estado a serem aplicadas na nova versão do conjunto de regras. Para obter mais informações, consulte Atualizando ou alterando a versão do conjunto de regras.

Conjunto de regras padrão 2.1

O conjunto de regras padrão (DRS) 2.1 é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui proteções proprietárias adicionais, regras desenvolvidas pela equipe do Microsoft Threat Intelligence e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.

O DRS 2.1 oferece um novo mecanismo e novos conjuntos de regras de defesa contra injeções Java, um conjunto inicial de verificações de upload de arquivos e menos falsos positivos em comparação com as versões CRS. Você também pode personalizar as regras para atender às suas necessidades. Saiba mais sobre o novo mecanismo WAF do Azure.

O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou conjunto de regras inteiro.

Tipo de Ameaça	Nome do grupo de regras
Geral	Geral
Métodos de bloqueio (PUT, PATCH)	APLICAÇÃO DO MÉTODO
Problemas de protocolo e codificação	APLICAÇÃO DO PROTOCOLO
Injeção de cabeçalho, contrabando de solicitações e divisão de respostas	PROTOCOLO-ATAQUE
Ataques de arquivos e caminhos	LFI
Ataques de inclusão remota de arquivos (RFI)	RFI
Ataques de execução remota de código	RCE
Ataques de injeção de PHP	PHP
Ataques Node JS	NodeJS
Ataques de script entre sites	XSS
Ataques de injeção de SQL	SQLI
Ataques de fixação de sessão	FIXAÇÃO DE SESSÃO
Ataques JAVA	SESSÃO-JAVA
Ataques de shell da Web (MS)	MS-ThreatIntel-WebShells
Ataques AppSec (MS)	MS-ThreatIntel-AppSec
Ataques de injeção de SQL (MS)	MS-ThreatIntel-SQLI
Ataques CVE (MS)	MS-ThreatIntel-CVEs

Orientações de ajuste fino para o DRS 2.1

Use as seguintes orientações para ajustar o WAF enquanto você começa a usar o DRS 2.1 no WAF do Application Gateway:

ID da Regra	Grupo de Regras	Descrição	Recomendação
942110	SQLI	Ataque de injeção de SQL: teste de injeção comum detetado	Desativar a regra 942110, substituída pela regra MSTIC 99031001
942150	SQLI	Ataque de Injeção do SQL	Desativar a regra 942150, substituída pela regra MSTIC 99031003
942260	SQLI	Deteta tentativas básicas de desvio de autenticação SQL 2/3	Desativar a regra 942260, substituída pela regra MSTIC 99031004
942430	SQLI	Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12)	Desative a regra 942430, ela aciona muitos falsos positivos
942440	SQLI	Sequência de comentários SQL detetada	Desativar a regra 942440, substituída pela regra MSTIC 99031002
99005006	EM-ThreatIntel-WebShells	Tentativa de interação com Spring4Shell	Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001014	EM-ThreatIntel-CVEs	Tentativa de injeção de expressão de encaminhamento do Spring Cloud CVE-2022-22963	Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001015	EM-ThreatIntel-CVEs	Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965	Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001016	EM-ThreatIntel-CVEs	Tentativa de injeção no Spring Cloud Gateway Actuator CVE-2022-22947	Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001017	EM-ThreatIntel-CVEs	Tentativa de exploração de carregamento de ficheiros no Apache Struts CVE-2023-50164	Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra

Conjuntos de regras principais (CRS) - legado

O conjunto de regras gerenciadas recomendado é o Conjunto de Regras Padrão 2.1, que é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui proteções proprietárias adicionais, regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Ao criar uma nova política WAF, você deve usar a versão mais recente e recomendada do conjunto de regras DRS 2.1. Se você tiver uma política WAF existente usando CRS 3.2 ou CRS 3.1, é recomendável atualizar para o DRS 2.1. Para obter mais informações, consulte Atualizar a versão do conjunto de regras CRS ou DRS.

Nota

O CRS 3.2 só está disponível no WAF_v2 SKU. Não é possível fazer downgrade do CRS 3.2 para o CRS 3.1 ou anterior porque o CRS 3.2 é executado no novo mecanismo WAF do Azure. É recomendável atualizar para o DRS 2.1 mais recente diretamente e validar novas regras com segurança, alterando a ação das novas regras para o modo de log. Para obter mais informações, consulte Validar novas regras com segurança.
O Web Application Firewall (WAF) em execução no Application Gateway for Containers não suporta o CRS (Core Ruleset).

Ajuste de conjuntos de regras gerenciadas

O DRS e o CRS são habilitados por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Gerenciadas para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. O DRS/CRS suporta ações de gestão de blocos, registos e pontuações de anomalias. O conjunto de regras do Bot Manager suporta as ações de permissão, bloqueio e registro.

Às vezes, talvez seja necessário omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar exclusões para serem aplicadas quando regras específicas do WAF forem avaliadas ou para serem aplicadas globalmente à avaliação de todas as regras do WAF. As regras de exclusão aplicam-se a toda a sua aplicação Web. Para obter mais informações, consulte Web Application Firewall (WAF) com listas de exclusão do Application Gateway.

Por padrão, o WAF do Azure usa a pontuação de anomalia quando uma solicitação corresponde a uma regra. Além disso, você pode configurar regras personalizadas na mesma política WAF se quiser ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Principais.

As regras personalizadas são sempre aplicadas antes que as regras no Conjunto de Regras Principais sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Principais são processadas.

Pontuação de anomalias

Ao utilizar o CRS ou DRS versão 2.1 ou posteriores, o seu WAF é configurado para usar pontuação de anomalias por padrão. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Notificação. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia:

Severidade da regra	O valor contribui para a pontuação de anomalia
Crítico	5
Erro	4
Aviso	3
Aviso	2

Se a pontuação de anomalia for igual ou superior a 5 e o WAF estiver no modo de Prevenção, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.

Por exemplo, uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de Prevenção, porque a pontuação de anomalia geral é 5. No entanto, uma regra de Aviso só aumenta a pontuação de anomalia em 3, o que, por si só, não é suficiente para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação de "Correspondência" nos registos. Se a pontuação de anomalia for 5 ou superior, há uma regra separada acionada com a ação "Bloqueado" ou "Detetado", dependendo se a política WAF está no modo de Prevenção ou Deteção. Para obter mais informações, consulte Modo de pontuação de anomalias.

Nível de paranoia

Cada regra é atribuída em um Nível de Paranoia (PL) específico. As regras configuradas na Paranoia Nível 1 (PL1) são menos agressivas e quase nunca desencadeiam um falso positivo. Eles fornecem segurança básica com necessidade mínima de ajustes finos. As regras no PL2 detetam mais ataques, mas espera-se que elas possam gerar falsos positivos, que devem ser ajustados.

Por padrão, as versões de regras DRS 2.1 e CRS 3.2 são pré-configuradas no Paranoia Nível 2, incluindo regras atribuídas em PL1 e PL2. Se você quiser usar o WAF exclusivamente com PL1, você pode desativar qualquer uma ou todas as regras PL2 ou alterar sua ação para 'log'. PL3 e PL4 atualmente não são suportados no Azure WAF.

Nota

O conjunto de regras do CRS 3.2 inclui regras em PL3 e PL4, mas essas regras estão sempre inativas e não podem ser habilitadas, independentemente de seu estado configurado ou ação.

Atualizando ou alterando a versão do conjunto de regras

Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar as substituições e exclusões de regras existentes, é recomendável usar o PowerShell, a CLI, A API REST ou um modelo para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes ou grupos de regras adicionais, que talvez você queira validar com segurança. É recomendável validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção. Para obter mais informações, consulte Atualizar a versão do conjunto de regras CRS ou DRS

Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas, configurações de política e exclusões globais permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará atualizar exceções de regras e validar as alterações antes de desenvolver em um ambiente de produção.

Gerenciador de Bot 1.0

O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e deteção de bons bots. As regras fornecem controle granular sobre bots detetados pelo WAF, categorizando o tráfego de bots como Bom, Ruim ou Desconhecido.

Grupo de regras	Descrição
BadBots	Proteja-se contra bots maliciosos
GoodBots	Identifique bons bots
Bots Desconhecidos	Identificar bots desconhecidos

Gerenciador de Bot 1.1

O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a boa deteção de bots.

Grupo de regras	Descrição
BadBots	Proteja-se contra bots maliciosos
GoodBots	Identifique bons bots
Bots Desconhecidos	Identificar bots desconhecidos

Os seguintes grupos de regras e regras estão disponíveis ao usar o Web Application Firewall no Application Gateway.

2.1 Conjuntos de regras

Geral

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
200002	Crítica - 5	PL1	Falha ao analisar o corpo da solicitação
200003	Crítica - 5	PL1	O corpo do pedido multipartes não passou na validação estrita

IMPOSIÇÃO DO MÉTODO

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
911100	Crítica - 5	PL1	O método não é permitido pela política

IMPOSIÇÃO DE PROTOCOLO

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
920100	Aviso - 2	PL1	Linha de solicitação HTTP inválida
920120	Crítica - 5	PL1	Tentativa de contornar multipart/form-data
920121	Crítica - 5	PL2	Tentativa de contornar multipart/form-data
920160	Crítica - 5	PL1	O cabeçalho HTTP Content-Length não é numérico
920170	Crítica - 5	PL1	Solicitação GET ou HEAD com conteúdo corporal
920171	Crítica - 5	PL1	Pedido GET ou HEAD com Transfer-Encoding
920180	Aviso - 2	PL1	Cabeçalho de comprimento de conteúdo ausente da solicitação POST
920181	Advertência - 3	PL1	Os cabeçalhos Content-Length e Transfer-Encoding apresentam 99001003
920190	Advertência - 3	PL1	Intervalo: Valor do último byte inválido
920200	Advertência - 3	PL2	Intervalo: Demasiados campos (6 ou mais)
920201	Advertência - 3	PL2	Intervalo: Demasiados campos para pedido de PDF (35 ou mais)
920210	Crítica - 5	PL1	Dados de cabeçalho de conexão múltiplos/conflitantes encontrados
920220	Advertência - 3	PL1	Tentativa de ataque de abuso de codificação de URL
920230	Advertência - 3	PL2	Codificação de URL múltipla detetada
920240	Advertência - 3	PL1	Tentativa de ataque de abuso de codificação de URL
920260	Advertência - 3	PL1	Tentativa de ataque de abuso da largura completa/parcial do Unicode
920270	Erro - 4	PL1	Caractere inválido na solicitação (caractere nulo)
920271	Crítica - 5	PL2	Caractere inválido na solicitação (caracteres não imprimíveis)
920280	Advertência - 3	PL1	Solicitação faltando um cabeçalho de host
920290	Advertência - 3	PL1	Cabeçalho de host vazio
920300	Aviso - 2	PL2	Falta de um cabeçalho 'Accept'
920310	Aviso - 2	PL1	A solicitação tem um cabeçalho de aceitação vazio
920311	Aviso - 2	PL1	A solicitação tem um cabeçalho de aceitação vazio
920320	Aviso - 2	PL2	Cabeçalho do agente de usuário ausente
920330	Aviso - 2	PL1	Cabeçalho vazio do agente do usuário
920340	Aviso - 2	PL1	Solicitação contendo conteúdo, mas faltando cabeçalho de tipo de conteúdo
920341	Crítica - 5	PL1	A solicitação que contém conteúdo requer o cabeçalho Content-Type
920350	Advertência - 3	PL1	O cabeçalho do host é um endereço IP numérico
920420	Crítica - 5	PL1	O tipo de conteúdo de solicitação não é permitido pela política
920430	Crítica - 5	PL1	A versão do protocolo HTTP não é permitida pela política
920440	Crítica - 5	PL1	A extensão de arquivo URL é restrita pela política
920450	Crítica - 5	PL1	O cabeçalho HTTP é restrito pela política
920470	Crítica - 5	PL1	Cabeçalho de tipo de conteúdo ilegal
920480	Crítica - 5	PL1	O charset do tipo de conteúdo de solicitação não é permitido pela política
920500	Crítica - 5	PL1	Tentar aceder a uma cópia de segurança ou a um ficheiro de trabalho

ATAQUE DE PROTOCOLO

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
921110	Crítica - 5	PL1	Ataque de Manipulação de Solicitação HTTP
921120	Crítica - 5	PL1	Ataque de divisão de resposta HTTP
921130	Crítica - 5	PL1	Ataque de divisão de resposta HTTP
921140	Crítica - 5	PL1	Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150	Crítica - 5	PL1	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921151	Crítica - 5	PL2	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921160	Crítica - 5	PL1	Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921190	Crítica - 5	PL1	Divisão HTTP (CR/LF no nome do arquivo de solicitação detetado)
921200	Crítica - 5	PL1	Ataque de injeção LDAP

LFI – Inclusão de Ficheiro Local

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
930100	Crítica - 5	PL1	Ataque de Travessia de Caminho (/.. /)
930110	Crítica - 5	PL1	Ataque de Travessia de Caminho (/.. /)
930120	Crítica - 5	PL1	Tentativa de acesso a ficheiros do SO
930130	Crítica - 5	PL1	Tentativa de acesso restrito a arquivos

RFI – Inclusão de Ficheiro Remoto

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
931100	Crítica - 5	PL1	Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando endereço IP
931110	Crítica - 5	PL1	Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL
931120	Crítica - 5	PL1	Possível ataque de inclusão remota de ficheiros (RFI): URL com carga usada e terminada com o caractere ponto de interrogação (?)
931130	Crítica - 5	PL2	Possível ataque de inclusão remota de arquivos (RFI): referência/hiperligação externa ao domínio

RCE - Execução de Comandos Remotos

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
932100	Crítica - 5	PL1	Execução de Comando Remoto: Unix Command Injection
932105	Crítica - 5	PL1	Execução de Comando Remoto: Unix Command Injection
932110	Crítica - 5	PL1	Execução remota de comando: Windows Command Injection
932115	Crítica - 5	PL1	Execução remota de comando: Windows Command Injection
932120	Crítica - 5	PL1	Execução de comando remoto: comando do Windows PowerShell encontrado
932130	Crítica - 5	PL1	Execução remota de comando: Vulnerabilidade de expressão ou confluência de shell Unix (CVE-2022-26134) encontrada
932140	Crítica - 5	PL1	Execução de comando remoto: Comando FOR/IF do Windows encontrado
932150	Crítica - 5	PL1	Execução de Comando Remoto: Execução Direta de Comandos Unix
932160	Crítica - 5	PL1	Execução de Comando Remoto: Código Unix Shell Encontrado
932170	Crítica - 5	PL1	Execução remota de comando: Shellshock (CVE-2014-6271)
932171	Crítica - 5	PL1	Execução remota de comando: Shellshock (CVE-2014-6271)
932180	Crítica - 5	PL1	Tentativa de carregamento de arquivo restrito

Ataques PHP

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
933100	Crítica - 5	PL1	Ataque de Injeção PHP: Tag de abertura/fechamento encontrada
933110	Crítica - 5	PL1	Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933120	Crítica - 5	PL1	PHP Injection Attack: Diretiva de configuração encontrada
933130	Crítica - 5	PL1	Ataque de injeção de PHP: variáveis encontradas
933140	Crítica - 5	PL1	Ataque de injeção de PHP: fluxo de E/S encontrado
933150	Crítica - 5	PL1	Ataque de Injeção de Código PHP: Nome da Função PHP de Alto Risco Encontrado
933151	Crítica - 5	PL2	Ataque de injeção PHP: Encontrado nome de função PHP de médio risco
933160	Crítica - 5	PL1	Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170	Crítica - 5	PL1	Ataque de Injeção de PHP: Injeção de Objeto Serializado
933180	Crítica - 5	PL1	Ataque de injeção de PHP: chamada de função variável encontrada
933200	Crítica - 5	PL1	Ataque de Injeção PHP: Esquema de wrapper detetado
933210	Crítica - 5	PL1	Ataque de injeção de PHP: chamada de função variável encontrada

Ataques em Node JS

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
934100	Crítica - 5	PL1	Node.js Ataque de injeção

XSS – Scripting Entre Sites

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
941100	Crítica - 5	PL1	Ataque XSS detetado via libinjection
941101	Crítica - 5	PL2	Ataque XSS detetado via libinjection. Esta regra deteta solicitações com um cabeçalho Referer
941110	Crítica - 5	PL1	Filtro XSS - Categoria 1: Vetor de tag de script
941120	Crítica - 5	PL1	Filtro XSS - Categoria 2: Vetor do manipulador de eventos
941130	Crítica - 5	PL1	Filtro XSS - Categoria 3: Vetor de atributo
941140	Crítica - 5	PL1	Filtro XSS - Categoria 4: Vetor URI JavaScript
941150	Crítica - 5	PL2	Filtro XSS - Categoria 5: Atributos HTML não permitidos
941160	Crítica - 5	PL1	NoScript XSS InjectionChecker: Injeção de HTML
941170	Crítica - 5	PL1	NoScript XSS InjectionChecker: Injeção de atributos
941180	Crítica - 5	PL1	Palavras-chave da lista de bloqueio do validador de nós
941190	Crítica - 5	PL1	XSS Usando folhas de estilo
941200	Crítica - 5	PL1	XSS usando quadros VML
941210	Crítica - 5	PL1	XSS usando JavaScript ofuscado
941220	Crítica - 5	PL1	XSS usando VBScript ofuscado
941230	Crítica - 5	PL1	XSS usando a tag 'embed'
941240	Crítica - 5	PL1	XSS usando o atributo 'import' ou 'implementation'
941250	Crítica - 5	PL1	Filtros XSS do IE - Ataque detetado
941260	Crítica - 5	PL1	XSS usando a tag 'meta'
941270	Crítica - 5	PL1	XSS usando 'link' href
941280	Crítica - 5	PL1	XSS usando a tag 'base'
941290	Crítica - 5	PL1	XSS usando a tag 'applet'
941300	Crítica - 5	PL1	XSS usando a tag 'object'
941310	Crítica - 5	PL1	Filtro XSS de codificação malformado US-ASCII - Ataque detetado
941320	Crítica - 5	PL2	Possível ataque XSS detetado - manipulador de tags HTML
941330	Crítica - 5	PL2	Filtros XSS do IE - Ataque detetado
941340	Crítica - 5	PL2	Filtros XSS do IE - Ataque detetado
941350	Crítica - 5	PL1	Codificação UTF-7 IE XSS - Ataque detetado
941360	Crítica - 5	PL1	Ofuscação de JavaScript detetada
941370	Crítica - 5	PL1	Variável global JavaScript encontrada
941380	Crítica - 5	PL2	Injeção de modelo AngularJS no cliente detetada

SQLI - Ataque de Injeção de SQL

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
942100	Crítica - 5	PL1	Ataque de injeção de SQL detetado via libinjection
942110	Advertência - 3	PL2	Ataque de injeção de SQL: teste de injeção comum detetado
942120	Crítica - 5	PL2	Ataque de injeção de SQL: operador SQL detetado
942130	Crítica - 5	PL2	Ataque de injeção de SQL: Tautologia SQL detectada
942140	Crítica - 5	PL1	Ataque de injeção de SQL: nomes comuns de banco de dados detetados
942150	Crítica - 5	PL2	Ataque de Injeção do SQL
942160	Crítica - 5	PL1	Deteta testes sqli cegos usando sleep() ou benchmark()
942170	Crítica - 5	PL1	Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais
942180	Crítica - 5	PL2	Deteta tentativas básicas de desvio de autenticação SQL 1/3
942190	Crítica - 5	PL1	Deteta a execução de código MSSQL e tentativas de coleta de informações
942200	Crítica - 5	PL2	Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick
942210	Crítica - 5	PL2	Deteta tentativas de injeção de SQL encadeadas 1/2
942220	Crítica - 5	PL1	Procurando por ataques de estouro de inteiros, estes foram retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" que causa falha.
942230	Crítica - 5	PL1	Deteta tentativas condicionais de injeção de SQL
942240	Crítica - 5	PL1	Deteta a alteração do conjunto de caracteres MySQL e tentativas de Negação de Serviço MSSQL
942250	Crítica - 5	PL1	Deteta MATCH CONTRA, MERGE e EXECUTE injeções IMEDIATAS
942260	Crítica - 5	PL2	Deteta tentativas básicas de desvio de autenticação SQL 2/3
942270	Crítica - 5	PL1	Procurando por uma injeção SQL básica. String de ataque comum para mysql, oracle e outros
942280	Crítica - 5	PL1	Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados
942290	Crítica - 5	PL1	Localiza tentativas básicas de injeção de SQL do MongoDB
942300	Crítica - 5	PL2	Deteta comentários, condições e injeções de ch(a)r do MySQL
942310	Crítica - 5	PL2	Deteta tentativas encadeadas de injeção de SQL 2/2
942320	Crítica - 5	PL1	Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
942330	Crítica - 5	PL2	Deteta tentativas clássicas de injeção SQL 1/2
942340	Crítica - 5	PL2	Deteta tentativas básicas de desvio de autenticação SQL 3/3
942350	Crítica - 5	PL1	Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura
942360	Crítica - 5	PL1	Deteta injeção básica concatenada de SQL e tentativas de SQLLFI
942361	Crítica - 5	PL2	Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave
942370	Crítica - 5	PL2	Deteta sondagens clássicas de injeção de SQL 2/2
942380	Crítica - 5	PL2	Ataque de Injeção do SQL
942390	Crítica - 5	PL2	Ataque de Injeção do SQL
942400	Crítica - 5	PL2	Ataque de Injeção do SQL
942410	Crítica - 5	PL2	Ataque de Injeção do SQL
942430	Advertência - 3	PL2	Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12)
942440	Crítica - 5	PL2	Sequência de comentários SQL detetada
942450	Crítica - 5	PL2	Codificação SQL Hex Identificada
942470	Crítica - 5	PL2	Ataque de Injeção do SQL
942480	Crítica - 5	PL2	Ataque de Injeção do SQL
942500	Crítica - 5	PL1	Comentário in-line do MySQL detetado
942510	Crítica - 5	PL2	Tentativa de desvio SQLi por ticks ou backticks detetados

FIXAÇÃO DE SESSÃO

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
943100	Crítica - 5	PL1	Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110	Crítica - 5	PL1	Possível ataque de fixação de sessão: nome do parâmetro SessionID com referenciador fora do domínio
943120	Crítica - 5	PL1	Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referenciador

Ataques JAVA

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
944100	Crítica - 5	PL1	Execução remota de comandos: Apache Struts, Oracle WebLogic
944110	Crítica - 5	PL1	Deteta a execução potencial de carga maliciosa
944120	Crítica - 5	PL1	Possível execução de carga maliciosa e execução remota de comandos
944130	Crítica - 5	PL1	Classes Java suspeitas
944200	Crítica - 5	PL2	Exploração da desserialização em Java no Apache Commons
944210	Crítica - 5	PL2	Possível uso da serialização Java
944240	Crítica - 5	PL2	Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250	Crítica - 5	PL2	Execução remota de comando: método Java suspeito detetado

EM-ThreatIntel-WebShells

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
99005002	Crítica - 5	PL2	Tentativa de interação do Web Shell (POST)
99005003	Crítica - 5	PL2	Tentativa de Upload do Web Shell (POST) - CHOPPER PHP
99005004	Crítica - 5	PL2	Tentativa de carregamento do Web Shell (POST) - CHOPPER ASPX
99005005	Crítica - 5	PL2	Tentativa de interação do Web Shell
99005006	Crítica - 5	PL2	Tentativa de interação com Spring4Shell

MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações)

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
99030001	Crítica - 5	PL2	Evasão transversal de caminho em cabeçalhos (/.. /./.. /)
99030002	Crítica - 5	PL2	Evasão Transversal de Caminho no Corpo de Solicitação (/.. /./.. /)

EM-ThreatIntel-SQLI

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
99031001	Advertência - 3	PL2	Ataque de injeção de SQL: teste de injeção comum detetado
99031002	Crítica - 5	PL2	Sequência de comentários SQL detetada
99031003	Crítica - 5	PL2	Ataque de Injeção do SQL
99031004	Crítica - 5	PL2	Deteta tentativas básicas de desvio de autenticação SQL 2/3

EM-ThreatIntel-CVEs

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
99001001	Crítica - 5	PL2	Tentativa de exploração da API REST F5 tmui (CVE-2020-5902) com credenciais conhecidas
99001002	Crítica - 5	PL2	Tentativa de travessia de diretório Citrix NSC_USER CVE-2019-19781
99001003	Crítica - 5	PL2	Tentativa de exploração do Atlassian Confluence Widget Connector CVE-2019-3396
99001004	Crítica - 5	PL2	Tentativa de exploração de um modelo personalizado do Pulse Secure CVE-2020-8243
99001005	Crítica - 5	PL2	Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932
99001006	Crítica - 5	PL2	Tentativa de travessia de diretório Pulse Connect CVE-2019-11510
99001007	Crítica - 5	PL2	Tentativa de inclusão de arquivo local Junos OS J-Web CVE-2020-1631
99001008	Crítica - 5	PL2	Tentativa de travessia de diretórios na Fortinet CVE-2018-13379
99001009	Crítica - 5	PL2	Tentativa de injeção de Apache Struts OGNL CVE-2017-5638
99001010	Crítica - 5	PL2	Tentativa de injeção de ognl no Apache struts CVE-2017-12611
99001011	Crítica - 5	PL2	Tentativa de traversão de diretório Oracle WebLogic CVE-2020-14882
99001012	Crítica - 5	PL2	Tentativa de exploração de desserialização insegura Telerik WebUI CVE-2019-18935
99001013	Crítica - 5	PL2	Tentativa de desserialização de XML não seguro do SharePoint CVE-2019-0604
99001014	Crítica - 5	PL2	Tentativa de injeção de expressão de encaminhamento do Spring Cloud CVE-2022-22963
99001015	Crítica - 5	PL2	Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965
99001016	Crítica - 5	PL2	Tentativa de injeção no Spring Cloud Gateway Actuator CVE-2022-22947
99001017*	N/A	N/A	Tentativa de exploração de carregamento de ficheiros no Apache Struts CVE-2023-50164
99001018	Crítica - 5	PL1	Tentativa de execução remota de código React2Shell CVE-2025-55182

* ^{A ação desta regra está configurada para registar por padrão. Defina a ação para Bloquear para proteger contra a vulnerabilidade do Apache Struts. A pontuação de anomalia não é suportada para esta regra.}

1.0 Conjuntos de regras

Bots maus

RuleId	Descrição
Bot100100	Bots maliciosos detetados por inteligência de ameaças
Bot100200	Bots maliciosos que falsificaram a sua identidade

Bot100100 analisa os endereços IP do cliente e os IPs no cabeçalho X-Forwarded-For.

Bons bots

RuleId	Descrição
Bot200100	Rastreadores de mecanismos de pesquisa
Bot200200	Rastreadores de mecanismos de pesquisa não verificados

Bots desconhecidos

RuleId	Descrição
Bot300100	Identidade não especificada
Bot300200	Ferramentas e estruturas para rastreamento da Web e ataques
Bot300300	Clientes HTTP e SDKs de uso geral
Bot300400	Agentes de serviço
Bot300500	Serviços de monitoramento da saúde do site
Bot300600	Bots desconhecidos detetados por inteligência de ameaças
Bot300700	Outros bots

Bot300600 analisa os endereços IP do cliente e os IPs no cabeçalho X-Forwarded-For.

1.1 Conjuntos de regras

Bots maus

RuleId	Descrição
Bot100100	Bots maliciosos detetados por inteligência de ameaças
Bot100200	Bots maliciosos que falsificaram a sua identidade
Bot100300	Bots de alto risco detetados por inteligência de ameaças

Bot100100 analisa os endereços IP do cliente e os IPs no cabeçalho X-Forwarded-For.

Bons bots

RuleId	Descrição
Bot200100	Rastreadores de mecanismos de pesquisa
Bot200200	Bots diversos verificados
Bot200300	Bots verificadores de links verificados
Bot200400	Bots de mídia social verificados
Bot200500	Buscadores de conteúdo verificados
Bot200600	Buscadores de feeds verificados
Bot200700	Bots de publicidade verificados

Bots desconhecidos

RuleId	Descrição
Bot300100	Identidade não especificada
Bot300200	Ferramentas e estruturas para rastreamento da Web e ataques
Bot300300	Clientes HTTP e SDKs de uso geral
Bot300400	Agentes de serviço
Bot300500	Serviços de monitoramento da saúde do site
Bot300600	Bots desconhecidos detetados por inteligência de ameaças cibernéticas. Esta regra também inclui endereços IP correspondentes à rede Tor
Bot300700	Outros bots

Bot300600 analisa os endereços IP do cliente e os IPs no cabeçalho X-Forwarded-For.

Nota

Ao rever os registos do WAF, poderá ver o ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.

Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.

Abaixo estão as versões anteriores do Conjunto de Regras Principais. Se estiver a utilizar CRS 3.2, CRS 3.1, CRS 3.0 ou CRS 2.2.9, recomenda-se atualizar para a versão mais recente do conjunto de regras do DRS 2.1. Para obter mais informações, consulte Atualizando ou alterando a versão do conjunto de regras.

3.2 Conjuntos de regras

Geral

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
200002	Crítica - 5	PL1	Falha ao analisar o corpo da solicitação
200003	Crítica - 5	PL1	Validação rigorosa do corpo da solicitação multipartes
200004	Crítica - 5	PL1	Possível limite não correspondente de múltiplas partes

CVES CONHECIDAS

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
800100	Crítica - 5	PL2	Regra para ajudar a detetar e mitigar a vulnerabilidade de log4j CVE-2021-44228, CVE-2021-45046
800110	Crítica - 5	PL2	Tentativa de interação com Spring4Shell
800111	Crítica - 5	PL2	Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963
800112	Crítica - 5	PL2	Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965
800113	Crítica - 5	PL2	Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947
800114*	Crítica - 5	PL2	Tentativa de exploração de upload de arquivo Apache Struts - CVE-2023-50164

PEDIDO-911-METHOD-ENFORCEMENT

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
911100	Crítica - 5	PL1	O método não é permitido pela política

PEDIDO-913-SCANNER-DETECTION

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
913100	Crítica - 5	PL1	Encontrado User-Agent associado ao verificador de segurança
913101	Crítica - 5	PL2	Encontrado User-Agent associado a scripting/cliente HTTP genérico
913102	Crítica - 5	PL2	Encontrado um User-Agent associado a um rastreador da Web
913110	Crítica - 5	PL1	Encontrado cabeçalho de solicitação associado ao verificador de segurança
913120	Crítica - 5	PL1	Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança

PEDIDO-920-PROTOCOL-ENFORCEMENT

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
920100	Advertência - 3	PL1	Linha de solicitação HTTP inválida
920120	Crítica - 5	PL1	Tentativa de contornar multipart/form-data
920121	Crítica - 5	PL2	Tentativa de contornar multipart/form-data
920160	Crítica - 5	PL1	O cabeçalho HTTP Content-Length não é numérico
920170	Crítica - 5	PL1	Solicitação GET ou HEAD com conteúdo corporal
920171	Crítica - 5	PL1	Pedido GET ou HEAD com Transfer-Encoding
920180	Advertência - 3	PL1	Cabeçalho de comprimento de conteúdo ausente da solicitação POST
920190	Advertência - 3	PL1	Intervalo: Valor do último byte inválido
920200	Advertência - 3	PL2	Intervalo: Demasiados campos (6 ou mais)
920201	Advertência - 3	PL2	Intervalo: Demasiados campos para pedido de PDF (35 ou mais)
920210	Advertência - 3	PL1	Dados de cabeçalho de conexão múltiplos/conflitantes encontrados
920220	Advertência - 3	PL1	Tentativa de ataque de abuso de codificação de URL
920230	Advertência - 3	PL2	Codificação de URL múltipla detetada
920240	Advertência - 3	PL1	Tentativa de ataque de abuso de codificação de URL
920250	Advertência - 3	PL1	Tentativa de ataque de abuso de codificação UTF8
920260	Advertência - 3	PL1	Tentativa de ataque de abuso da largura completa/parcial do Unicode
920270	Crítica - 5	PL1	Caractere inválido na solicitação (caractere nulo)
920271	Crítica - 5	PL2	Caractere inválido na solicitação (caracteres não imprimíveis)
920280	Advertência - 3	PL1	Solicitação faltando um cabeçalho de host
920290	Advertência - 3	PL1	Cabeçalho de host vazio
920300	Aviso - 2	PL2	Falta de um cabeçalho 'Accept'
920310	Aviso - 2	PL1	A solicitação tem um cabeçalho de aceitação vazio
920311	Aviso - 2	PL1	A solicitação tem um cabeçalho de aceitação vazio
920320	Aviso - 2	PL2	Cabeçalho do agente de usuário ausente
920330	Aviso - 2	PL1	Cabeçalho vazio do agente do usuário
920340	Aviso - 2	PL1	Solicitação contendo conteúdo, mas faltando cabeçalho de tipo de conteúdo
920341	Crítica - 5	PL2	A solicitação que contém conteúdo requer o cabeçalho Content-Type
920350	Advertência - 3	PL1	O cabeçalho do host é um endereço IP numérico
920420	Crítica - 5	PL1	O tipo de conteúdo de solicitação não é permitido pela política
920430	Crítica - 5	PL1	A versão do protocolo HTTP não é permitida pela política
920440	Crítica - 5	PL1	A extensão de arquivo URL é restrita pela política
920450	Crítica - 5	PL1	O cabeçalho HTTP é restrito pela política (%{MATCHED_VAR})
920470	Crítica - 5	PL1	Cabeçalho de tipo de conteúdo ilegal
920480	Crítica - 5	PL1	Restringir parâmetro charset dentro do cabeçalho de tipo de conteúdo

PEDIDO-921-PROTOCOL-ATTACK

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
921110	Crítica - 5	PL1	Ataque de Manipulação de Solicitação HTTP
921120	Crítica - 5	PL1	Ataque de divisão de resposta HTTP
921130	Crítica - 5	PL1	Ataque de divisão de resposta HTTP
921140	Crítica - 5	PL1	Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150	Crítica - 5	PL1	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921151	Crítica - 5	PL2	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921160	Crítica - 5	PL1	Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)

PEDIDO-930-APLICAÇÃO-ATTACK-LFI

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
930100	Crítica - 5	PL1	Ataque de Travessia de Caminho (/.. /)
930110	Crítica - 5	PL1	Ataque de Travessia de Caminho (/.. /)
930120	Crítica - 5	PL1	Tentativa de acesso a ficheiros do SO
930130	Crítica - 5	PL1	Tentativa de acesso restrito a arquivos

REQUEST-931-APPLICATION-ATTACK-RFI

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
931100	Crítica - 5	PL1	Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando endereço IP
931110	Crítica - 5	PL1	Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL
931120	Crítica - 5	PL1	Possível ataque de inclusão remota de ficheiros (RFI): URL com carga usada e terminada com o caractere ponto de interrogação (?)
931130	Crítica - 5	PL2	Possível ataque de inclusão remota de arquivos (RFI): referência/hiperligação externa ao domínio

REQUEST-932-APPLICATION-ATTACK-RCE

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
932100	Crítica - 5	PL1	Execução de Comando Remoto: Unix Command Injection
932105	Crítica - 5	PL1	Execução de Comando Remoto: Unix Command Injection
932110	Crítica - 5	PL1	Execução remota de comando: Windows Command Injection
932115	Crítica - 5	PL1	Execução remota de comando: Windows Command Injection
932120	Crítica - 5	PL1	Execução de comando remoto: comando do Windows PowerShell encontrado
932130	Crítica - 5	PL1	Execução remota de comando: Vulnerabilidade de expressão ou confluência do shell Unix (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrada
932140	Crítica - 5	PL1	Execução de comando remoto: Comando FOR/IF do Windows encontrado
932150	Crítica - 5	PL1	Execução de Comando Remoto: Execução Direta de Comandos Unix
932160	Crítica - 5	PL1	Execução de Comando Remoto: Código Unix Shell Encontrado
932170	Crítica - 5	PL1	Execução remota de comando: Shellshock (CVE-2014-6271)
932171	Crítica - 5	PL1	Execução remota de comando: Shellshock (CVE-2014-6271)
932180	Crítica - 5	PL1	Tentativa de carregamento de arquivo restrito

SOLICITAÇÃO-933-APLICAÇÃO-ATTACK-PHP

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
933100	Crítica - 5	PL1	Ataque de Injeção PHP: Tag de abertura/fechamento encontrada
933110	Crítica - 5	PL1	Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933120	Crítica - 5	PL1	PHP Injection Attack: Diretiva de configuração encontrada
933130	Crítica - 5	PL1	Ataque de injeção de PHP: variáveis encontradas
933140	Crítica - 5	PL1	Ataque de injeção de PHP: fluxo de E/S encontrado
933150	Crítica - 5	PL1	Ataque de Injeção de Código PHP: Nome da Função PHP de Alto Risco Encontrado
933151	Crítica - 5	PL2	Ataque de injeção PHP: Encontrado nome de função PHP de médio risco
933160	Crítica - 5	PL1	Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170	Crítica - 5	PL1	Ataque de Injeção de PHP: Injeção de Objeto Serializado
933180	Crítica - 5	PL1	Ataque de injeção de PHP: chamada de função variável encontrada
933200	Crítica - 5	PL1	Ataque de Injeção PHP: Esquema de wrapper detetado
933210	Crítica - 5	PL1	Ataque de injeção de PHP: chamada de função variável encontrada

REQUEST-941-APPLICATION-ATTACK-XSS

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
941100	Crítica - 5	PL1	Ataque XSS detetado via libinjection
941101	Crítica - 5	PL2	Ataque XSS detetado via libinjection Esta regra deteta solicitações com um cabeçalho Referer
941110	Crítica - 5	PL1	Filtro XSS - Categoria 1: Vetor de tag de script
941120	Crítica - 5	PL1	Filtro XSS - Categoria 2: Vetor do manipulador de eventos
941130	Crítica - 5	PL1	Filtro XSS - Categoria 3: Vetor de atributo
941140	Crítica - 5	PL1	Filtro XSS - Categoria 4: Vetor URI JavaScript
941150	Crítica - 5	PL2	Filtro XSS - Categoria 5: Atributos HTML não permitidos
941160	Crítica - 5	PL1	NoScript XSS InjectionChecker: Injeção de HTML
941170	Crítica - 5	PL1	NoScript XSS InjectionChecker: Injeção de atributos
941180	Crítica - 5	PL1	Palavras-chave da lista negra do validador de nós
941190	Crítica - 5	PL1	XSS Usando folhas de estilo
941200	Crítica - 5	PL1	XSS usando quadros VML
941210	Crítica - 5	PL1	XSS usando JavaScript ofuscado ou Text4Shell (CVE-2022-42889)
941220	Crítica - 5	PL1	XSS usando VBScript ofuscado
941230	Crítica - 5	PL1	XSS usando a tag 'embed'
941240	Crítica - 5	PL1	XSS usando o atributo 'import' ou 'implementation'
941250	Crítica - 5	PL1	Filtros XSS do IE - Ataque detetado
941260	Crítica - 5	PL1	XSS usando a tag 'meta'
941270	Crítica - 5	PL1	XSS usando 'link' href
941280	Crítica - 5	PL1	XSS usando a tag 'base'
941290	Crítica - 5	PL1	XSS usando a tag 'applet'
941300	Crítica - 5	PL1	XSS usando a tag 'object'
941310	Crítica - 5	PL1	Filtro XSS de codificação malformado US-ASCII - Ataque detetado
941320	Crítica - 5	PL2	Possível ataque XSS detetado - manipulador de tags HTML
941330	Crítica - 5	PL2	Filtros XSS do IE - Ataque detetado
941340	Crítica - 5	PL2	Filtros XSS do IE - Ataque detetado
941350	Crítica - 5	PL1	Codificação UTF-7 IE XSS - Ataque detetado
941360	Crítica - 5	PL1	Ofuscação de JavaScript detetada

REQUEST-942-APPLICATION-ATTACK-SQLI

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
942100	Crítica - 5	PL1	Ataque de injeção de SQL detetado via libinjection
942110	Advertência - 3	PL2	Ataque de injeção de SQL: teste de injeção comum detetado
942120	Crítica - 5	PL2	Ataque de injeção de SQL: operador SQL detetado
942130	Crítica - 5	PL2	Ataque de injeção de SQL: Tautologia SQL detectada
942140	Crítica - 5	PL1	Ataque de injeção de SQL: nomes comuns de banco de dados detetados
942150	Crítica - 5	PL2	Ataque de Injeção do SQL
942160	Crítica - 5	PL1	Deteta testes sqli cegos usando sleep() ou benchmark()
942170	Crítica - 5	PL1	Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais
942180	Crítica - 5	PL2	Deteta tentativas básicas de desvio de autenticação SQL 1/3
942190	Crítica - 5	PL1	Deteta a execução de código MSSQL e tentativas de coleta de informações
942200	Crítica - 5	PL2	Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick
942210	Crítica - 5	PL2	Deteta tentativas de injeção de SQL encadeadas 1/2
942220	Crítica - 5	PL1	Procurando por ataques de estouro de inteiros, estes foram retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" que causa falha.
942230	Crítica - 5	PL1	Deteta tentativas condicionais de injeção de SQL
942240	Crítica - 5	PL1	Deteta a alteração do conjunto de caracteres MySQL e tentativas de Negação de Serviço MSSQL
942250	Crítica - 5	PL1	Deteta injeções MATCH AGAINST, MERGE e EXECUTE IMMEDIATE
942260	Crítica - 5	PL2	Deteta tentativas básicas de desvio de autenticação SQL 2/3
942270	Crítica - 5	PL1	Procurando por uma injeção SQL básica. String de ataque comum para mysql, oracle e outros
942280	Crítica - 5	PL1	Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados
942290	Crítica - 5	PL1	Localiza tentativas básicas de injeção de SQL do MongoDB
942300	Crítica - 5	PL2	Deteta comentários, condições e injeções de ch(a)r do MySQL
942310	Crítica - 5	PL2	Deteta tentativas encadeadas de injeção de SQL 2/2
942320	Crítica - 5	PL1	Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
942330	Crítica - 5	PL2	Deteta tentativas clássicas de injeção SQL 1/2
942340	Crítica - 5	PL2	Deteta tentativas básicas de desvio de autenticação SQL 3/3
942350	Crítica - 5	PL1	Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura
942360	Crítica - 5	PL1	Deteta injeção básica concatenada de SQL e tentativas de SQLLFI
942361	Crítica - 5	PL2	Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave
942370	Crítica - 5	PL2	Deteta sondagens clássicas de injeção de SQL 2/2
942380	Crítica - 5	PL2	Ataque de Injeção do SQL
942390	Crítica - 5	PL2	Ataque de Injeção do SQL
942400	Crítica - 5	PL2	Ataque de Injeção do SQL
942410	Crítica - 5	PL2	Ataque de Injeção do SQL
942430	Advertência - 3	PL2	Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12)
942440	Crítica - 5	PL2	Sequência de comentários SQL detetada
942450	Crítica - 5	PL2	Codificação SQL Hex Identificada
942470	Crítica - 5	PL2	Ataque de Injeção do SQL
942480	Crítica - 5	PL2	Ataque de Injeção do SQL
942500	Crítica - 5	PL1	Comentário in-line do MySQL detetado

PEDIDO-943-ATAQUE-DE-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
943100	Crítica - 5	PL1	Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110	Crítica - 5	PL1	Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
943120	Crítica - 5	PL1	Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência

REQUEST-944-APLICAÇÃO-ATAQUE-JAVA

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
944100	Crítica - 5	PL1	Execução remota de comandos: Apache Struts, Oracle WebLogic
944110	Crítica - 5	PL1	Deteta a execução potencial de carga maliciosa
944120	Crítica - 5	PL1	Possível execução de carga maliciosa e execução remota de comandos
944130	Crítica - 5	PL1	Classes Java suspeitas
944200	Crítica - 5	PL2	Exploração da desserialização em Java no Apache Commons
944210	Crítica - 5	PL2	Possível uso da serialização Java
944240	Crítica - 5	PL1	Execução remota de comando: serialização Java
944250	Crítica - 5	PL1	Execução remota de comando: método Java suspeito detetado

Regras inativas

ID da Regra	Gravidade da pontuação de anomalia	Nível de paranoia	Descrição
920202	Advertência - 3	PL4	(Regra inativa, deve ser ignorada) Intervalo: Demasiados campos para pedido de PDF (6 ou mais)
920272	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127)
920273	Crítica - 5	PL4	(Regra inativa, deve ser ignorada) Caractere inválido na solicitação (fora do conjunto muito restrito)
920274	Crítica - 5	PL4	(Regra inativa, deve ser ignorada) Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito)
920460	Crítica - 5	PL4	(Regra inativa, deve ser ignorada) Personagens de fuga anormais
921170	N/A	PL3	(Regra inativa, deve ser ignorada) Poluição por parâmetros HTTP
921180	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Poluição por parâmetros HTTP (%{TX.1})
932106	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Execução de Comando Remoto: Unix Command Injection
932190	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Execução de comando remoto: tentativa da técnica de desvio curinga
933111	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933131	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Ataque de injeção de PHP: variáveis encontradas
933161	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Ataque de injeção de PHP: Low-Value chamada de função PHP detetada
933190	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Ataque de injeção de PHP: Etiqueta de fechamento do PHP encontrada
942251	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Deteta TER injeções
942420	Advertência - 3	PL3	(Regra inativa, deve ser ignorada) Deteção de anomalias de caracteres restritos em SQL (cookies): Número de caracteres especiais excedidos (8)
942421	Advertência - 3	PL4	(Regra inativa, deve ser ignorada) Deteção de anomalia de caracteres SQL restritos (cookies): # de caracteres especiais excedidos (3)
942431	Advertência - 3	PL3	(Regra inativa, deve ser ignorada) Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (6)
942432	Advertência - 3	PL4	(Regra inativa, deve ser ignorada) Deteção de anomalia de caracteres restritos em SQL (args): número de caracteres especiais excedidos (2)
942460	Advertência - 3	PL3	(Regra inativa, deve ser ignorada) Meta-Character Alerta de Deteção de Anomalias - Caracteres repetitivos que não são do Word
942490	Crítica - 5	PL3	(Regra inativa, deve ser ignorada) Detecta tentativas clássicas de injeção de SQL 3/3

3.1 Conjuntos de regras

Geral

RuleId	Descrição
200004	Possível limite não correspondente de múltiplas partes

CVES CONHECIDAS

RuleId	Descrição
800100	Regra para ajudar a detetar e mitigar a vulnerabilidade de log4j CVE-2021-44228, CVE-2021-45046
800110	Tentativa de interação com Spring4Shell
800111	Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963
800112	Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965
800113	Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947
800114*	Tentativa de exploração de upload de arquivo Apache Struts - CVE-2023-50164

* ^{Os WAFs mais antigos que executam o CRS 3.1 suportam apenas o modo de registo para esta regra. Para habilitar o modo de bloqueio, você precisará atualizar para uma versão mais recente do conjunto de regras.}

PEDIDO-911-METHOD-ENFORCEMENT

RuleId	Descrição
911100	O método não é permitido pela política

PEDIDO-913-SCANNER-DETECTION

RuleId	Descrição
913100	Encontrado User-Agent associado ao verificador de segurança
913101	Encontrado User-Agent associado a scripting/cliente HTTP genérico
913102	Encontrado um User-Agent associado a um rastreador da Web
913110	Encontrado cabeçalho de solicitação associado ao verificador de segurança
913120	Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança

PEDIDO-920-PROTOCOL-ENFORCEMENT

RuleId	Descrição
920100	Linha de solicitação HTTP inválida
920120	Tentativa de contornar multipart/form-data
920121	Tentativa de contornar multipart/form-data
920130	Falha ao analisar o corpo da solicitação
920140	O corpo do pedido multipartes não passou na validação estrita
920160	O cabeçalho HTTP Content-Length não é numérico
920170	Solicitação GET ou HEAD com conteúdo corporal
920171	Pedido GET ou HEAD com Transfer-Encoding
920180	Cabeçalho de comprimento de conteúdo ausente da solicitação POST
920190	Intervalo = Valor inválido do último byte
920200	Intervalo = Demasiados campos (6 ou mais)
920201	Intervalo = Demasiados campos para pedido de PDF (35 ou mais)
920202	Intervalo = Demasiados campos para a solicitação de PDF (6 ou mais)
920210	Dados de cabeçalho de conexão múltiplos/conflitantes encontrados
920220	Tentativa de ataque de abuso de codificação de URL
920230	Codificação de URL múltipla detetada
920240	Tentativa de ataque de abuso de codificação de URL
920250	Tentativa de ataque de abuso de codificação UTF8
920260	Tentativa de ataque de abuso da largura completa/parcial do Unicode
920270	Caractere inválido na solicitação (caractere nulo)
920271	Caractere inválido na solicitação (caracteres não imprimíveis)
920272	Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127)
920273	Caractere inválido na solicitação (fora do conjunto muito restrito)
920274	Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito)
920280	Solicitação faltando um cabeçalho de host
920290	Cabeçalho de host vazio
920300	Falta de um cabeçalho 'Accept'
920310	A solicitação tem um cabeçalho de aceitação vazio
920311	A solicitação tem um cabeçalho de aceitação vazio
920320	Cabeçalho do agente de usuário ausente
920330	Cabeçalho vazio do agente do usuário
920340	Solicitação contendo conteúdo, mas cabeçalho de tipo de conteúdo ausente
920341	A solicitação que contém conteúdo requer o cabeçalho Content-Type
920350	O cabeçalho do host é um endereço IP numérico
920420	O tipo de conteúdo de solicitação não é permitido pela política
920430	A versão do protocolo HTTP não é permitida pela política
920440	A extensão de arquivo URL é restrita pela política
920450	O cabeçalho HTTP é restrito pela política (%@{MATCHED_VAR})
920460	Caracteres de escape anormais
920470	Cabeçalho de tipo de conteúdo ilegal
920480	Restringir parâmetro charset dentro do cabeçalho de tipo de conteúdo

PEDIDO-921-PROTOCOL-ATTACK

RuleId	Descrição
921110	Ataque de Manipulação de Solicitação HTTP
921120	Ataque de divisão de resposta HTTP
921130	Ataque de divisão de resposta HTTP
921140	Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921151	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921160	Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921170	Poluição por parâmetros HTTP
921180	Poluição por parâmetros HTTP (%{TX.1})

PEDIDO-930-APLICAÇÃO-ATTACK-LFI

RuleId	Descrição
930100	Ataque de Travessia de Caminho (/.. /)
930110	Ataque de Travessia de Caminho (/.. /)
930120	Tentativa de acesso a ficheiros do SO
930130	Tentativa de acesso restrito a arquivos

REQUEST-931-APPLICATION-ATTACK-RFI

RuleId	Descrição
931100	Possível ataque de inclusão remota de arquivos (RFI) = parâmetro de URL usando endereço IP
931110	Possível ataque de inclusão remota de ficheiros (RFI) = Parâmetro vulnerável de RFI comum usado com carga de URL
931120	Possível ataque de inclusão remota de ficheiros (RFI) = URL usada com o caractere de ponto de interrogação no final (?)
931130	Possível ataque de inclusão remota de arquivos (RFI) = referência/link fora do domínio

REQUEST-932-APPLICATION-ATTACK-RCE

RuleId	Descrição
932100	Execução de Comando Remoto: Unix Command Injection
932105	Execução de Comando Remoto: Unix Command Injection
932106	Execução de Comando Remoto: Unix Command Injection
932110	Execução remota de comando: Windows Command Injection
932115	Execução remota de comando: Windows Command Injection
932120	Execução de Comando Remoto = Comando do Windows PowerShell Encontrado
932130	Execução remota de comando: Vulnerabilidade de expressão ou confluência do shell Unix (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrada
932140	Execução de comando remoto = comando FOR/IF do Windows encontrado
932150	Execução de Comando Remoto: Execução Direta de Comandos Unix
932160	Execução remota de comandos = código shell Unix encontrado
932170	Execução remota de comandos = Shellshock (CVE-2014-6271)
932171	Execução remota de comandos = Shellshock (CVE-2014-6271)
932180	Tentativa de carregamento de arquivo restrito
932190	Execução remota de comandos: tentativa de técnica de bypass usando curinga

SOLICITAÇÃO-933-APLICAÇÃO-ATTACK-PHP

RuleId	Descrição
933100	Ataque de Injeção PHP – Tag de Abertura/Fechamento Encontrada
933110	Ataque de Injeção PHP = Carregamento de Ficheiro de Script PHP Encontrado
933111	Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933120	PHP Injection Attack = Diretiva de configuração encontrada
933130	Ataque de Injeção de PHP = Variáveis Encontradas
933131	Ataque de injeção de PHP: variáveis encontradas
933140	Ataque de injeção de PHP: fluxo de E/S encontrado
933150	PHP Injection Attack = Nome da função PHP de alto risco encontrado
933151	Ataque de injeção PHP: Encontrado nome de função PHP de médio risco
933160	Ataque de Injeção PHP = Chamada de função PHP de alto risco encontrada
933161	Ataque de injeção de PHP: chamada de função PHP de baixo valor encontrada
933170	Ataque de Injeção de PHP: Injeção de Objeto Serializado
933180	Ataque de Injeção PHP: Chamada de Função Variável Detetada
933190	Ataque de injeção de PHP: Etiqueta de encerramento do PHP encontrada

REQUEST-941-APPLICATION-ATTACK-XSS

RuleId	Descrição
941100	Ataque XSS detetado via libinjection
941101	Ataque XSS detetado via libinjection. Esta regra deteta solicitações com um cabeçalho Referer
941110	Filtro XSS - Categoria 1 = Vetor de Etiqueta de Script
941120	Filtro XSS - Categoria 2 = Vetor do manipulador de eventos
941130	Filtro XSS - Categoria 3 = Vetor de Atributo
941140	Filtro XSS - Categoria 4: Vetor de URI JavaScript
941150	Filtro XSS - Categoria 5 = Atributos HTML não permitidos
941160	NoScript XSS InjectionChecker: Injeção de HTML
941170	NoScript XSS InjectionChecker: Injeção de atributos
941180	Palavras-chave da lista de bloqueio do validador de nós
941190	XSS usando folhas de estilo
941200	XSS usando quadros VML
941210	XSS usando JavaScript ofuscado ou Text4Shell (CVE-2022-42889)
941220	XSS usando VBScript ofuscado
941230	XSS usando a tag 'embed'
941240	XSS usando o atributo 'import' ou 'implementation'
941250	Filtros XSS do IE - Ataque detetado
941260	XSS usando a tag 'meta'
941270	XSS usando 'link' href
941280	XSS usando a tag 'base'
941290	XSS usando a tag 'applet'
941300	XSS usando a tag 'object'
941310	Filtro XSS de codificação malformado US-ASCII - Ataque detetado
941320	Possível ataque XSS detetado - manipulador de tags HTML
941330	Filtros XSS do IE - Ataque detetado
941340	Filtros XSS do IE - Ataque detetado
941350	Codificação UTF-7 IE XSS - Ataque detetado

REQUEST-942-APPLICATION-ATTACK-SQLI

RuleId	Descrição
942100	Ataque de injeção de SQL detetado via libinjection
942110	Ataque de injeção de SQL: teste de injeção comum detetado
942120	Ataque de injeção de SQL: operador SQL detetado
942130	Ataque de injeção de SQL: Tautologia SQL detectada
942140	Ataque de injeção de SQL = nomes comuns de banco de dados detetados
942150	Ataque de Injeção do SQL
942160	Deteta testes sqli cegos usando sleep() ou benchmark()
942170	Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais
942180	Deteta tentativas básicas de desvio de autenticação SQL 1/3
942190	Deteta a execução de código MSSQL e tentativas de coleta de informações
942200	Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick
942210	Deteta tentativas de injeção de SQL encadeadas 1/2
942220	À procura de ataques de overflow de inteiros, estes ficaram retirados de skipfish, exceto a versão 3.0.00738585072.
942230	Deteta tentativas condicionais de injeção de SQL
942240	Deteta a alteração do conjunto de caracteres MySQL e tentativas de Negação de Serviço MSSQL
942250	Deteta injeções MATCH AGAINST, MERGE e EXECUTE IMMEDIATE
942251	Deteta TER injeções
942260	Deteta tentativas básicas de desvio de autenticação SQL 2/3
942270	Procurando por uma injeção SQL básica. String de ataque comum para MySQL, Oracle e outros
942280	Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados
942290	Localiza tentativas básicas de injeção de SQL do MongoDB
942300	Deteta comentários, condições e injeções de ch(a)r do MySQL
942310	Deteta tentativas encadeadas de injeção de SQL 2/2
942320	Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
942330	Deteta tentativas clássicas de injeção SQL 1/2
942340	Deteta tentativas básicas de desvio de autenticação SQL 3/3
942350	Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura
942360	Deteta injeção básica concatenada de SQL e tentativas de SQLLFI
942361	Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave
942370	Deteta sondagens clássicas de injeção de SQL 2/2
942380	Ataque de Injeção do SQL
942390	Ataque de Injeção do SQL
942400	Ataque de Injeção do SQL
942410	Ataque de Injeção do SQL
942420	Deteção de anomalia de caracteres SQL restritos (cookies): # de caracteres especiais excedidos (8)
942421	Deteção de anomalia de caracteres SQL restritos (cookies): # de caracteres especiais excedidos (3)
942430	Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12)
942431	Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (6)
942432	Deteção de anomalias de caracteres restritos em SQL (args): número de caracteres especiais excedido (2)
942440	Sequência de comentários SQL detetada
942450	Codificação SQL Hex Identificada
942460	Alerta de Deteção de Anomalias de Meta-caracteres - Caracteres repetitivos não textuais
942470	Ataque de Injeção do SQL
942480	Ataque de Injeção do SQL
942490	Deteta sondagens clássicas de injeção de SQL 3/3

PEDIDO-943-ATAQUE-DE-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO

RuleId	Descrição
943100	Possível ataque de fixação de sessão = Definindo valores de cookie em HTML
943110	Possível ataque de fixação de sessão = nome do parâmetro SessionID com referência fora do domínio
943120	Possível ataque de fixação de sessão = Nome do parâmetro SessionID sem referenciador

REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA

RuleId	Descrição
944100	Execução remota de comandos: Apache Struts, Oracle WebLogic
944110	Deteta a execução potencial de carga maliciosa
944120	Possível execução de carga maliciosa e execução remota de comandos
944130	Classes Java suspeitas
944200	Exploração da desserialização em Java no Apache Commons
944210	Possível uso da serialização Java
944240	Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250	Execução remota de comando: método Java suspeito detetado

3.0 Conjuntos de regras

Geral

RuleId	Descrição
200004	Possível limite não correspondente de múltiplas partes

CVES CONHECIDAS

RuleId	Descrição
800100	Regra para ajudar a detetar e mitigar a vulnerabilidade de log4j CVE-2021-44228, CVE-2021-45046
800110	Tentativa de interação com Spring4Shell
800111	Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963
800112	Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965
800113	Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947

PEDIDO-911-METHOD-ENFORCEMENT

RuleId	Descrição
911100	O método não é permitido pela política

PEDIDO-913-SCANNER-DETECTION

RuleId	Descrição
913100	Encontrado User-Agent associado ao verificador de segurança
913110	Encontrado cabeçalho de solicitação associado ao verificador de segurança
913120	Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança
913101	Encontrado User-Agent associado a scripting/cliente HTTP genérico
913102	Encontrado um User-Agent associado a um rastreador da Web

PEDIDO-920-PROTOCOL-ENFORCEMENT

RuleId	Descrição
920100	Linha de solicitação HTTP inválida
920120	Tentativa de contornar multipart/form-data
920130	Falha ao analisar o corpo da solicitação
920140	O corpo do pedido multipartes não passou na validação estrita
920160	O cabeçalho HTTP Content-Length não é numérico
920170	Solicitação GET ou HEAD com conteúdo corporal
920180	Cabeçalho de comprimento de conteúdo ausente da solicitação POST
920190	Intervalo = Valor inválido do último byte
920210	Dados de cabeçalho de conexão múltiplos/conflitantes encontrados
920220	Tentativa de ataque de abuso de codificação de URL
920240	Tentativa de ataque de abuso de codificação de URL
920250	Tentativa de ataque de abuso de codificação UTF8
920260	Tentativa de ataque de abuso da largura completa/parcial do Unicode
920270	Caractere inválido na solicitação (caractere nulo)
920280	Solicitação faltando um cabeçalho de host
920290	Cabeçalho de host vazio
920310	A solicitação tem um cabeçalho de aceitação vazio
920311	A solicitação tem um cabeçalho de aceitação vazio
920330	Cabeçalho vazio do agente do usuário
920340	Solicitação contendo conteúdo, mas cabeçalho de tipo de conteúdo ausente
920350	O cabeçalho do host é um endereço IP numérico
920420	O tipo de conteúdo de solicitação não é permitido pela política
920430	A versão do protocolo HTTP não é permitida pela política
920440	A extensão de arquivo URL é restrita pela política
920450	O cabeçalho HTTP é restrito pela política (%@{MATCHED_VAR})
920200	Intervalo = Demasiados campos (6 ou mais)
920201	Intervalo = Demasiados campos para pedido de PDF (35 ou mais)
920230	Codificação de URL múltipla detetada
920300	Falta de um cabeçalho 'Accept'
920271	Caractere inválido na solicitação (caracteres não imprimíveis)
920320	Cabeçalho do agente de usuário ausente
920272	Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127)
920202	Intervalo = Demasiados campos para a solicitação de PDF (6 ou mais)
920273	Caractere inválido na solicitação (fora do conjunto muito restrito)
920274	Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito)
920460	Caracteres de fuga anormais

PEDIDO-921-PROTOCOL-ATTACK

RuleId	Descrição
921100	Ataque de Manipulação de Solicitação HTTP
921110	Ataque de Manipulação de Solicitação HTTP
921120	Ataque de divisão de resposta HTTP
921130	Ataque de divisão de resposta HTTP
921140	Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921160	Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921151	Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921170	Poluição por parâmetros HTTP
921180	Poluição por parâmetros HTTP (%@{TX.1})

PEDIDO-930-APLICAÇÃO-ATTACK-LFI

RuleId	Descrição
930100	Ataque de Travessia de Caminho (/.. /)
930110	Ataque de Travessia de Caminho (/.. /)
930120	Tentativa de acesso a ficheiros do SO
930130	Tentativa de acesso restrito a arquivos

REQUEST-931-APPLICATION-ATTACK-RFI

RuleId	Descrição
931100	Possível ataque de inclusão remota de arquivos (RFI) = parâmetro de URL usando endereço IP
931110	Possível ataque de inclusão remota de ficheiros (RFI) = Parâmetro vulnerável de RFI comum usado com carga de URL
931120	Possível ataque de inclusão remota de ficheiros (RFI) = URL usada com o caractere de ponto de interrogação no final (?)
931130	Possível ataque de inclusão remota de arquivos (RFI) = referência/link fora do domínio

REQUEST-932-APPLICATION-ATTACK-RCE

RuleId	Descrição
932100	Execução de Comando Remoto: Unix Command Injection
932105	Execução de Comando Remoto: Unix Command Injection
932110	Execução remota de comando: Windows Command Injection
932115	Execução remota de comando: Windows Command Injection
932120	Execução de Comando Remoto = Comando do Windows PowerShell Encontrado
932130	Application Gateway WAF v2: Execução remota de comando: expressão de shell Unix ou vulnerabilidade de confluência (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrados Application Gateway WAF v1: Execução de comando remoto: Unix Shell Expression
932140	Execução de comando remoto = comando FOR/IF do Windows encontrado
932150	Execução de Comando Remoto: Execução Direta de Comandos Unix
932160	Execução remota de comandos = código shell Unix encontrado
932170	Execução remota de comandos = Shellshock (CVE-2014-6271)
932171	Execução remota de comandos = Shellshock (CVE-2014-6271)

SOLICITAÇÃO-933-APLICAÇÃO-ATTACK-PHP

RuleId	Descrição
933100	Ataque de Injeção PHP – Tag de Abertura/Fechamento Encontrada
933110	Ataque de Injeção PHP = Carregamento de Ficheiro de Script PHP Encontrado
933120	PHP Injection Attack = Diretiva de configuração encontrada
933130	Ataque de Injeção de PHP = Variáveis Encontradas
933140	Ataque de injeção de PHP: fluxo de E/S encontrado
933150	PHP Injection Attack = Nome da função PHP de alto risco encontrado
933160	Ataque de Injeção PHP = Chamada de função PHP de alto risco encontrada
933170	Ataque de Injeção de PHP: Injeção de Objeto Serializado
933180	Ataque de Injeção PHP: Chamada de Função Variável Detetada
933151	PHP Injection Attack = Nome da função PHP de médio risco encontrado
933131	Ataque de Injeção de PHP = Variáveis Encontradas
933161	Ataque de injeção de PHP = chamada de função PHP de baixo valor encontrada
933111	Ataque de Injeção PHP = Carregamento de Ficheiro de Script PHP Encontrado

REQUEST-941-APPLICATION-ATTACK-XSS

RuleId	Descrição
941100	Ataque XSS detetado via libinjection
941110	Filtro XSS - Categoria 1 = Vetor de Etiqueta de Script
941120	Filtro XSS - Categoria 2: Vetor do manipulador de eventos
941130	Filtro XSS - Categoria 3 = Vetor de Atributo
941140	Filtro XSS - Categoria 4: Vetor de URI JavaScript
941150	Filtro XSS - Categoria 5 = Atributos HTML não permitidos
941160	NoScript XSS InjectionChecker: Injeção de HTML
941170
941180	Palavras-chave da lista de bloqueio do validador de nós
941190	XSS usando folhas de estilo
941200	XSS usando quadros VML
941210	XSS usando JavaScript ofuscado ou Text4Shell (CVE-2022-42889)
941220	XSS usando VBScript ofuscado
941230	XSS usando a tag 'embed'
941240	XSS usando o atributo 'import' ou 'implementation'
941250	Filtros XSS do IE - Ataque detetado
941260	XSS usando a tag 'meta'
941270	XSS usando 'link' href
941280	XSS usando a tag 'base'
941290	XSS usando a tag 'applet'
941300	XSS usando a tag 'object'
941310	Filtro XSS de codificação malformado US-ASCII - Ataque detetado
941330	Filtros XSS do IE - Ataque detetado
941340	Filtros XSS do IE - Ataque detetado
941350	Codificação UTF-7 IE XSS - Ataque detetado
941320	Possível ataque XSS detetado - manipulador de tags HTML

REQUEST-942-APPLICATION-ATTACK-SQLI

RuleId	Descrição
942100	Ataque de injeção de SQL detetado via libinjection
942110	Ataque de injeção de SQL: teste de injeção comum detetado
942120	Ataque de injeção de SQL: operador SQL detetado
942130	Ataque de injeção de SQL: Tautologia SQL detectada
942140	Ataque de injeção de SQL = nomes comuns de banco de dados detetados
942160	Deteta testes sqli cegos usando sleep() ou benchmark()
942170	Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais
942180	Deteta tentativas básicas de desvio de autenticação SQL 1/3
942190	Deteta a execução de código MSSQL e tentativas de coleta de informações
942200	Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick
942210	Deteta tentativas de injeção de SQL encadeadas 1/2
942220	Procurando ataques de estouro de inteiros, estes são retirados de skipfish, exceto 3.003738585072007e-308 é o 'número mágico' que causa falha.
942230	Deteta tentativas condicionais de injeção de SQL
942240	Deteta a alteração do conjunto de caracteres MySQL e tentativas de Negação de Serviço MSSQL
942250	Deteta MATCH CONTRA, MERGE e EXECUTE injeções IMEDIATAS
942260	Deteta tentativas básicas de desvio de autenticação SQL 2/3
942270	Procurando por uma injeção SQL básica. String de ataque comum para MySQL, Oracle e outros
942280	Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados
942290	Localiza tentativas básicas de injeção de SQL do MongoDB
942300	Deteta comentários, condições e injeções de ch(a)r do MySQL
942310	Deteta tentativas encadeadas de injeção de SQL 2/2
942320	Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
942330	Deteta tentativas clássicas de injeção SQL 1/2
942340	Deteta tentativas básicas de desvio de autenticação SQL 3/3
942350	Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura
942360	Deteta injeção básica concatenada de SQL e tentativas de SQLLFI
942370	Deteta sondagens clássicas de injeção de SQL 2/2
942380	Ataque de Injeção do SQL
942390	Ataque de Injeção do SQL
942400	Ataque de Injeção do SQL
942150	Ataque de Injeção do SQL
942410	Ataque de Injeção do SQL
942420	Deteção de anomalia de caracteres SQL restritos (cookies): # de caracteres especiais excedidos (8)
942421	Deteção de anomalia de caracteres SQL restritos (cookies): # de caracteres especiais excedidos (3)
942430	Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12)
942431	Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (6)
942432	Deteção de anomalias de caracteres restritos em SQL (args): número de caracteres especiais excedido (2)
942440	Sequência de comentários SQL detetada
942450	Codificação SQL Hex Identificada
942251	Deteta TER injeções
942460	Alerta de Deteção de Anomalias de Meta-caracteres - Caracteres repetitivos não textuais

PEDIDO-943-ATAQUE-DE-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO

RuleId	Descrição
943100	Possível ataque de fixação de sessão = Definindo valores de cookie em HTML
943110	Possível ataque de fixação de sessão = nome do parâmetro SessionID com referência fora do domínio
943120	Possível ataque de fixação de sessão = Nome do parâmetro SessionID sem referenciador

2.2.9 Conjuntos de regras

crs_20_violações_de_protocolo

RuleId	Descrição
960911	Linha de solicitação HTTP inválida
981227	Erro Apache = URI inválido na solicitação
960912	Falha ao analisar o corpo da solicitação
960914	O corpo do pedido multipartes não passou na validação estrita
960915	O analisador multipartes detetou um possível limite não correspondido
960016	O cabeçalho HTTP Content-Length não é numérico
960011	Solicitação GET ou HEAD com conteúdo corporal
960012	Cabeçalho de comprimento de conteúdo ausente da solicitação POST
960902	Uso inválido da codificação de identidade
960022	Cabeçalho 'Expect' não permitido para HTTP 1.0
960020	Pragma Header requer Cache-Control Header para solicitações HTTP/1.1
958291	Intervalo = campo existe e começa com 0
958230	Intervalo = Valor inválido do último byte
958295	Dados de cabeçalho de conexão múltiplos/conflitantes encontrados
950107	Tentativa de ataque de abuso de codificação de URL
950109	Codificação de URL múltipla detetada
950108	Tentativa de ataque de abuso de codificação de URL
950801	Tentativa de ataque de abuso de codificação UTF8
950116	Tentativa de ataque de abuso da largura completa/parcial do Unicode
960901	Caractere inválido na solicitação
960018	Caractere inválido na solicitação

anomalias_do_protocolo_crs_21

RuleId	Descrição
960008	Solicitação faltando um cabeçalho de host
960007	Cabeçalho de host vazio
960015	Falta de um cabeçalho 'Accept'
960021	A solicitação tem um cabeçalho de aceitação vazio
960009	Solicitação faltando um cabeçalho de agente de usuário
960006	Cabeçalho vazio do agente do usuário
960904	Solicitação contendo conteúdo, mas cabeçalho de tipo de conteúdo ausente
960017	O cabeçalho do host é um endereço IP numérico

limites_de_solicitação_crs_23

RuleId	Descrição
960209	Nome do argumento muito longo
960208	Valor do argumento muito longo
960335	Demasiados argumentos solicitados
960341	Tamanho total dos argumentos excedido
960342	Tamanho do ficheiro carregado demasiado grande
960343	Tamanho total dos ficheiros carregados demasiado grande

crs_30_http_policy

RuleId	Descrição
960032	O método não é permitido pela política
960010	O tipo de conteúdo de solicitação não é permitido pela política
960034	A versão do protocolo HTTP não é permitida pela política
960035	A extensão de arquivo URL é restrita pela política
960038	O cabeçalho HTTP é restrito pela política

crs_35_bad_robots

RuleId	Descrição
990002	Solicitação indica que um verificador de segurança examinou o site
990901	Solicitação indica que um verificador de segurança examinou o site
990902	Solicitação indica que um verificador de segurança examinou o site
990012	Rastreador de sites fraudulentos

crs_40_generic_attacks

RuleId	Descrição
960024	Alerta de Deteção de Anomalias de Meta-caracteres - Caracteres repetitivos não textuais
950008	Injeção de tags não documentadas do ColdFusion
950010	Ataque de injeção LDAP
950011	Ataque de injeção SSI
950018	Universal PDF XSS URL detectado
950019	Ataque de injeção de e-mail
950012	Ataque de Manipulação de Solicitação HTTP
950910	Ataque de divisão de resposta HTTP
950911	Ataque de divisão de resposta HTTP
950117	Ataque de inclusão remota de arquivos
950118	Ataque de inclusão remota de arquivos
950119	Ataque de inclusão remota de arquivos
950120	Possível ataque de inclusão remota de arquivos (RFI) = referência/link fora do domínio
981133	Artigo 981133.º
981134	Regra 981134
950009	Ataque de fixação de sessão
950003	Fixação de Sessão
950000	Fixação de Sessão
950005	Tentativa de Acesso Remoto a Ficheiros
950002	Acesso ao comando do sistema
950006	Injeção de comandos no sistema
959151	Ataque de injeção PHP
958976	Ataque de injeção PHP
958977	Ataque de injeção PHP

crs_41_sql_injection_attacks

RuleId	Descrição
981231	Sequência de comentários SQL detetada
981260	Codificação SQL Hex Identificada
981320	Ataque de injeção de SQL = nomes comuns de banco de dados detetados
981300	Artigo 981300
981301	Artigo 981301.º
981302	Artigo 981302
981303	Artigo 981303.º
981304	Artigo 981304
981305	Artigo 981305.º
981306	Artigo 981306
981307	Artigo 981307
981308	Artigo 981308.º
981309	Artigo 981309.º
981310	Artigo 981310
981311	Regra 981311
981312	Artigo 981312
981313	Artigo 981313
981314	Artigo 981314
981315	Artigo 981315
981316	Regra 981316
981317	Alerta de deteção de anomalia da instrução SQL SELECT
950007	Ataque cego de injeção de SQL
950001	Ataque de Injeção do SQL
950908	Ataque de Injeção do SQL
959073	Ataque de Injeção do SQL
981272	Deteta testes sqli cegos usando sleep() ou benchmark()
981250	Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais
981241	Deteta tentativas condicionais de injeção de SQL
981276	Procurando por uma injeção SQL básica. String de ataque comum para MySQL, Oracle e outros
981270	Localiza tentativas básicas de injeção de SQL do MongoDB
981253	Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
981251	Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura

crs_41_xss_attacks

RuleId	Descrição
973336	Filtro XSS - Categoria 1 = Vetor de Etiqueta de Script
973338	Filtro XSS - Categoria 3 = Vetor URI JavaScript
981136	Artigo 981136
981018	Regra 981018
958016	Ataque de script entre sites (XSS)
958414	Ataque de script entre sites (XSS)
958032	Ataque de script entre sites (XSS)
958026	Ataque de script entre sites (XSS)
958027	Ataque de script entre sites (XSS)
958054	Ataque de script entre sites (XSS)
958418	Ataque de script entre sites (XSS)
958034	Ataque de script entre sites (XSS)
958019	Ataque de script entre sites (XSS)
958013	Ataque de script entre sites (XSS)
958408	Ataque de script entre sites (XSS)
958012	Ataque de script entre sites (XSS)
958423	Ataque de script entre sites (XSS)
958002	Ataque de script entre sites (XSS)
958017	Ataque de script entre sites (XSS)
958007	Ataque de script entre sites (XSS)
958047	Ataque de script entre sites (XSS)
958410	Ataque de script entre sites (XSS)
958415	Ataque de script entre sites (XSS)
958022	Ataque de script entre sites (XSS)
958405	Ataque de script entre sites (XSS)
958419	Ataque de script entre sites (XSS)
958028	Ataque de script entre sites (XSS)
958057	Ataque de script entre sites (XSS)
958031	Ataque de script entre sites (XSS)
958006	Ataque de script entre sites (XSS)
958033	Ataque de script entre sites (XSS)
958038	Ataque de script entre sites (XSS)
958409	Ataque de script entre sites (XSS)
958001	Ataque de script entre sites (XSS)
958005	Ataque de script entre sites (XSS)
958404	Ataque de script entre sites (XSS)
958023	Ataque de script entre sites (XSS)
958010	Ataque de script entre sites (XSS)
958411	Ataque de script entre sites (XSS)
958422	Ataque de script entre sites (XSS)
958036	Ataque de script entre sites (XSS)
958000	Ataque de script entre sites (XSS)
958018	Ataque de script entre sites (XSS)
958406	Ataque de script entre sites (XSS)
958040	Ataque de script entre sites (XSS)
958052	Ataque de script entre sites (XSS)
958037	Ataque de script entre sites (XSS)
958049	Ataque de script entre sites (XSS)
958030	Ataque de script entre sites (XSS)
958041	Ataque de script entre sites (XSS)
958416	Ataque de script entre sites (XSS)
958024	Ataque de script entre sites (XSS)
958059	Ataque de script entre sites (XSS)
958417	Ataque de script entre sites (XSS)
958020	Ataque de script entre sites (XSS)
958045	Ataque de script entre sites (XSS)
958004	Ataque de script entre sites (XSS)
958421	Ataque de script entre sites (XSS)
958009	Ataque de script entre sites (XSS)
958025	Ataque de script entre sites (XSS)
958413	Ataque de script entre sites (XSS)
958051	Ataque de script entre sites (XSS)
958420	Ataque de script entre sites (XSS)
958407	Ataque de script entre sites (XSS)
958056	Ataque de script entre sites (XSS)
958011	Ataque de script entre sites (XSS)
958412	Ataque de script entre sites (XSS)
958008	Ataque de script entre sites (XSS)
958046	Ataque de script entre sites (XSS)
958039	Ataque de script entre sites (XSS)
958003	Ataque de script entre sites (XSS)
973300	Possível ataque XSS detetado - manipulador de tags HTML
973301	Ataque XSS detetado
973302	Ataque XSS detetado
973303	Ataque XSS detetado
973304	Ataque XSS detetado
973305	Ataque XSS detetado
973306	Ataque XSS detetado
973307	Ataque XSS detetado
973308	Ataque XSS detetado
973309	Ataque XSS detetado
973311	Ataque XSS detetado
973313	Ataque XSS detetado
973314	Ataque XSS detetado
973331	Filtros XSS do IE - Ataque detetado
973315	Filtros XSS do IE - Ataque detetado
973330	Filtros XSS do IE - Ataque detetado
973327	Filtros XSS do IE - Ataque detetado
973326	Filtros XSS do IE - Ataque detetado
973346	Filtros XSS do IE - Ataque detetado
973345	Filtros XSS do IE - Ataque detetado
973324	Filtros XSS do IE - Ataque detetado
973323	Filtros XSS do IE - Ataque detetado
973348	Filtros XSS do IE - Ataque detetado
973321	Filtros XSS do IE - Ataque detetado
973320	Filtros XSS do IE - Ataque detetado
973318	Filtros XSS do IE - Ataque detetado
973317	Filtros XSS do IE - Ataque detetado
973329	Filtros XSS do IE - Ataque detetado
973328	Filtros XSS do IE - Ataque detetado

crs_42_segurança_rigorosa

RuleId	Descrição
950103	Ataque de traversal de diretório

crs_45_trojans

RuleId	Descrição
950110	Acesso clandestino
950921	Acesso clandestino
950922	Acesso clandestino

Feedback

Esta página foi útil?

Last updated on 2025-09-17

Partilhar via

Regras e grupos de regras do DRS e CRS do Web Application Firewall

Conjunto de regras padrão 2.1

Orientações de ajuste fino para o DRS 2.1

Conjuntos de regras principais (CRS) - legado

Ajuste de conjuntos de regras gerenciadas

Pontuação de anomalias

Nível de paranoia

Atualizando ou alterando a versão do conjunto de regras

Gerenciador de Bot 1.0

Gerenciador de Bot 1.1

2.1 Conjuntos de regras

Geral

IMPOSIÇÃO DO MÉTODO

IMPOSIÇÃO DE PROTOCOLO

ATAQUE DE PROTOCOLO

LFI – Inclusão de Ficheiro Local

RFI – Inclusão de Ficheiro Remoto

RCE - Execução de Comandos Remotos

Ataques PHP

Ataques em Node JS

XSS – Scripting Entre Sites

SQLI - Ataque de Injeção de SQL

FIXAÇÃO DE SESSÃO

Ataques JAVA

EM-ThreatIntel-WebShells

MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações)

EM-ThreatIntel-SQLI

EM-ThreatIntel-CVEs

3.2 Conjuntos de regras

Geral

CVES CONHECIDAS

PEDIDO-911-METHOD-ENFORCEMENT

PEDIDO-913-SCANNER-DETECTION

PEDIDO-920-PROTOCOL-ENFORCEMENT

PEDIDO-921-PROTOCOL-ATTACK

PEDIDO-930-APLICAÇÃO-ATTACK-LFI

REQUEST-931-APPLICATION-ATTACK-RFI

REQUEST-932-APPLICATION-ATTACK-RCE

SOLICITAÇÃO-933-APLICAÇÃO-ATTACK-PHP

REQUEST-941-APPLICATION-ATTACK-XSS

REQUEST-942-APPLICATION-ATTACK-SQLI

PEDIDO-943-ATAQUE-DE-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO

REQUEST-944-APLICAÇÃO-ATAQUE-JAVA

Regras inativas

Conteúdo relacionado

Feedback

Recursos adicionais